摘要
       用戶在部署安全儀表系統(tǒng)（SIS）之前，需要對(duì)儀表制造商的產(chǎn)品進(jìn)行第三方機(jī)構(gòu)的安全等級(jí)評(píng)估。這個(gè)工作可以減輕用戶用于安全應(yīng)用的儀表證明文件的負(fù)擔(dān)。本文敘述了四種評(píng)估儀表產(chǎn)品的方法。

關(guān)鍵詞
        失效模式影響和診斷分析  以往使用   IEC61508

Abstract:
Before end user deploy Safety Instrumented System (SIS), different levels of assessment have been done by third party assessors for instrumentation manufactures. This work can help reduce the burden of documentation when an end user attempts to justfy an instrument for use on safety applications.This paper will outline four levels of assessment for instrumentation products.

Key word
 FMEDA Prior-use IEC61508

 

        最終用戶必須謹(jǐn)慎地選擇用于安全儀表系統(tǒng)（SIS）應(yīng)用的所有儀表設(shè)備。所有要用的儀表設(shè)備必須仔細(xì)的驗(yàn)證。證明文件應(yīng)該包括足夠的信息，使用戶具有足夠的信心，保證儀表系統(tǒng)能夠很好地實(shí)現(xiàn)安全功能。儀表系統(tǒng)必須能夠執(zhí)行所有提出的功能要求，儀表使用的材料必須兼容流程材料，并且具有使用的經(jīng)驗(yàn)。流程環(huán)境條件不能超過儀表系統(tǒng)的額定參數(shù)。對(duì)儀表的功能安全必須進(jìn)行評(píng)估，所有證明結(jié)果必須成文，做為項(xiàng)目記錄的一部分。

 

功能安全評(píng)估

        IEC 61511是用于流程工業(yè)的功能安全標(biāo)準(zhǔn)，要求用于安全儀表系統(tǒng)的設(shè)備必須基于 IEC 61508 認(rèn)證、滿足相應(yīng)的SIL等級(jí)或者基于“以往使用”的證明（IEC61511，部分1，段11.5.3）來選擇。不幸的是，IEC61511 標(biāo)準(zhǔn)沒有給出詳細(xì)的規(guī)范，表出 “以往使用”的實(shí)際內(nèi)容是什么。然而，大多數(shù)人同意，如果用戶企業(yè)已有多年成功經(jīng)驗(yàn)的文檔（無危險(xiǎn)失效），已經(jīng)使用過某種儀表的特定版本，能夠提供使用這種儀表的證明，甚至沒有安全認(rèn)證也可以接受為“以往使用”的證據(jù)。大多數(shù)人同意，以往使用需要在每個(gè)站點(diǎn)對(duì)系統(tǒng)所有現(xiàn)場的失效和失效模式進(jìn)行記錄。儀表的硬件和軟件版本必須與設(shè)計(jì)保持一致，否則以往使用的經(jīng)驗(yàn)是無效的。操作條件也必須記錄，并且要與設(shè)計(jì)的安全應(yīng)用相似。當(dāng)然，采用以往使用證明的問題是很多流程現(xiàn)場不能保持記錄的水平。現(xiàn)在，很多用戶希望制造商能幫助他們提供證明。其實(shí)，第三方的評(píng)估師可以更公正的對(duì)儀表制造商進(jìn)行不同等級(jí)的評(píng)估。當(dāng)用戶試圖證明某個(gè)儀表用于安全應(yīng)用，這項(xiàng)工作可以幫助用戶減少制作文件的負(fù)擔(dān)。市場上，對(duì)儀表產(chǎn)品的評(píng)估有四個(gè)等級(jí)：

 

1.根據(jù) IEC 61508 標(biāo)準(zhǔn)對(duì)硬件進(jìn)行失效模式影響和診斷分析（FMEDA）

        對(duì)硬件的分析被稱為失效模式影響和診斷分析（FMEDA），它決定了一個(gè)儀表的失效率和失效模式。一個(gè)FMEDA是對(duì)一個(gè)硬件進(jìn)行詳細(xì)分析的過程，是對(duì)幾十年來發(fā)展和證明的傳統(tǒng)失效模式影響分析（FMEA）過程的擴(kuò)展。

        這項(xiàng)技術(shù)首先在電子設(shè)備上應(yīng)用，近年來擴(kuò)展至機(jī)械和機(jī)電設(shè)備。

        這些設(shè)備的失效率現(xiàn)在用安全失效分?jǐn)?shù)（SFF），診斷覆蓋率（DC）和要求時(shí)的平均失效概率（PFDavg）來計(jì)算。這些對(duì)硬件設(shè)備的評(píng)估為安全儀表工程師提供了 IEC 61508 / IEC61511 要求的失效數(shù)據(jù)。有些評(píng)估師還進(jìn)行生命周期的分析，給安全儀表工程師提供機(jī)械損耗和到退役的時(shí)間周期。有些 FMEDA 分析還擴(kuò)展到了給出檢驗(yàn)測試方法的效果評(píng)價(jià)。這為安全儀表工程師提供了檢驗(yàn)測試的覆蓋因素，比PFDavg 的計(jì)算更實(shí)際。

很多用戶認(rèn)為這個(gè)等級(jí)是一個(gè)第三方評(píng)估的最基本、最低的等級(jí)。當(dāng)這個(gè)評(píng)估等級(jí)結(jié)合用戶的詳細(xì)評(píng)價(jià)和以往使用經(jīng)驗(yàn)后，對(duì)有些公司的安全儀表系統(tǒng)應(yīng)用中的儀表選擇已經(jīng)足夠了。

 

2.按照 IEC 61511 中以往使用的考慮

        有些制造商正在幫助用戶對(duì)他們以往使用的設(shè)備評(píng)估提供更多的信息。有些制造商已經(jīng)有第三方對(duì)已有設(shè)備現(xiàn)場失效記錄的評(píng)估。考慮了歸因于硬件和軟件的失效分布。評(píng)估還應(yīng)該有從現(xiàn)場收集的流程和產(chǎn)品更改的數(shù)據(jù)。

        從第三方評(píng)估師提供的以往使用報(bào)告，可以幫助儀表設(shè)計(jì)師證明特定儀表的使用符合IEC61511以往使用的標(biāo)準(zhǔn)。然而，對(duì)來自不同設(shè)備提供商的相似申明，需要進(jìn)行仔細(xì)的復(fù)審， 確保他們可以用于特定的應(yīng)用。以往使用數(shù)據(jù)必須顯示環(huán)境的限制和應(yīng)用的限制。因?yàn)橹圃焐滩粫?huì)實(shí)際“使用”設(shè)備，以往使用方法必須依靠用戶收集的數(shù)據(jù)。用于收集、報(bào)告和分析這些數(shù)據(jù)的方法必須認(rèn)真地復(fù)審。當(dāng)現(xiàn)場失效記錄用于計(jì)算失效率時(shí)，對(duì)記錄的內(nèi)容必須非常仔細(xì)地審查，因?yàn)楝F(xiàn)場失效經(jīng)常不報(bào)告。

        大多數(shù)人同意：來自以往使用報(bào)告的信息，在這種設(shè)備核準(zhǔn)用于安全儀表系統(tǒng)應(yīng)用前，必須結(jié)合用戶的詳細(xì)評(píng)價(jià)和特定的工廠經(jīng)驗(yàn)。

 

 3. 結(jié)合 FMEDA 和使用證明評(píng)估，用嚴(yán)格定義的標(biāo)準(zhǔn) – exida公司的使用證明

        exida 公司已經(jīng)定義特定擴(kuò)展標(biāo)準(zhǔn)用于“使用證明” （Proven in Use）評(píng)估，能夠簡單地實(shí)現(xiàn)現(xiàn)場失效分析和更改過程復(fù)審。這個(gè)方法結(jié)合了硬件 FMEDA 分析和按嚴(yán)格書寫標(biāo)準(zhǔn)收集現(xiàn)場性能的詳細(xì)研究。當(dāng)硬件失效率和失效模式分析結(jié)合現(xiàn)場失效性能的評(píng)估，獲得更高等級(jí)的信心。它還包括的是制造商現(xiàn)場返回過程的評(píng)估，工程改變、變更流程和制造商安全文件。這種方法傾向給用戶提供有用信息，結(jié)合特定用戶應(yīng)用多年的經(jīng)驗(yàn)，為特定的流程提供證明。

 

4. 依照 IEC 61508 進(jìn)行完整評(píng)估

        選項(xiàng)4是按照IEC61508的要求進(jìn)行一次完整地評(píng)估。完整的評(píng)估包括所有的上述區(qū)域并且加上一個(gè)在硬件和軟件開發(fā)期間，詳細(xì)的測試、變更、用戶文件和制造過程所有失效避免和失效控制測量的評(píng)估。

 

 

       一個(gè)依照IEC61508的完整評(píng)估是一種最有效的全面評(píng)估。不幸的是，它變得越來越必要，并且更多的軟件加入進(jìn)儀表系統(tǒng)。由于設(shè)計(jì)錯(cuò)誤（系統(tǒng)錯(cuò)誤）的現(xiàn)場失效正不斷增加。這其中軟件的錯(cuò)誤占有了大部分。這種類型的失效是不太可能寫入報(bào)告反映到制造商，因?yàn)?ldquo;維修”常常是“軟件復(fù)位”或者電源重啟。因此“以往使用”或者基于返回到制造商的現(xiàn)場失效評(píng)價(jià)技術(shù)不是十分有效。

        IEC 61508 的很多要求集中在使用世界最好的產(chǎn)品設(shè)計(jì)方法消除系統(tǒng)錯(cuò)誤。為了展示遵從IEC61508的所有要求，要展示一個(gè)產(chǎn)品的創(chuàng)建過程中失效控制和失效避免過程的廣泛應(yīng)用。這個(gè)特別設(shè)計(jì)的軟件必須能容忍軟件失效。IEC61508委員會(huì)的成員已經(jīng)定義了一套實(shí)踐方法，表現(xiàn)了很好的軟件工程實(shí)現(xiàn)。他們必須能嚴(yán)格地應(yīng)用于不同的等級(jí)，如儀表產(chǎn)品的安全功能SIL等級(jí)。

        這個(gè)選項(xiàng)適合于新開發(fā)的產(chǎn)品或者已經(jīng)存在的產(chǎn)品。當(dāng)一個(gè)產(chǎn)品已經(jīng)展示了遵從IEC61508的全部要求，用戶就有一個(gè)高水平的信心，因?yàn)楫a(chǎn)品是一個(gè)依從SIL等級(jí)的安全產(chǎn)品。

        當(dāng)一個(gè)產(chǎn)品遵從IEC61508的全部要求時(shí)，使用中就像產(chǎn)品的“安全手冊(cè)”提供的沒有任何重要的“約束”。一個(gè)具厚的安全手冊(cè)具有長段的詳細(xì)指令列表，告訴用戶怎樣使產(chǎn)品“安全”，除非這些限制由用戶已經(jīng)執(zhí)行，否則制造商的產(chǎn)品可能不滿足應(yīng)用的要求。

        以上四種評(píng)估技術(shù)中的不同點(diǎn)在下表中給出。

評(píng)估標(biāo)準(zhǔn) 僅FMEDA  Exida 的FMEDA 以往使用 /IEC 61511 Exida 的使用證明標(biāo)準(zhǔn) IEC 61508 認(rèn)證
 

 

* 依據(jù)評(píng)估機(jī)構(gòu) – 不是所有機(jī)構(gòu)都能執(zhí)行詳細(xì)的分析

表 1: 常用評(píng)估的不同

 

        評(píng)估工作通常由第三方的專家諸如 exida、TUV 和 FM 等執(zhí)行。一般做為儀表制造商的請(qǐng)求，兩個(gè)或多個(gè)公司將會(huì)組隊(duì)進(jìn)行評(píng)估。

        用于安全的PLC產(chǎn)品，多數(shù)用戶需要按IEC61508進(jìn)行所有認(rèn)證。對(duì)于大多數(shù)設(shè)備制造商來說，具有全部的認(rèn)證是一個(gè)最基本的要求。

        用于現(xiàn)場的設(shè)備，使用IEC 61508 的認(rèn)證是比較少的。然而，隨著最近的新產(chǎn)品發(fā)布，可以非常清楚地看到：將后將會(huì)實(shí)現(xiàn)變送器、甚至是閥門的全部認(rèn)證。

        應(yīng)該注意的是：所有這些評(píng)估技術(shù)，包括全部 IEC 61508 認(rèn)證沒有評(píng)價(jià)一個(gè)儀表合適于某個(gè)特定過程或者過程連接的失效概率。用戶必須評(píng)價(jià)這些問題。在安全關(guān)鍵性應(yīng)用的用法必須謹(jǐn)慎地證明。

        做為安全儀表系統(tǒng)的設(shè)計(jì)和執(zhí)行，非常清楚的一點(diǎn)是制造商和用戶必須一起工作，才能達(dá)到功能性安全。制造商必須規(guī)定環(huán)境和應(yīng)用的限制。用戶必須把應(yīng)用中設(shè)計(jì)使用的產(chǎn)品，不超出儀表本身設(shè)計(jì)的限制。現(xiàn)場可靠性和安全性能必須與制造商進(jìn)行溝通，使得任何不曾預(yù)料的設(shè)計(jì)問題可以得到所有方面的理解和認(rèn)知。